Permisos de Azure Active Directory para Citrix Cloud
En este artículo se describen los permisos que Citrix Cloud solicita al conectar y usar Azure Active Directory (AD). Según cómo se use Azure AD con la cuenta de Citrix Cloud, es posible que se creen una o varias aplicaciones de empresa en el arrendatario de destino de Azure AD. Puede conectar varias cuentas de Citrix Cloud a un arrendatario de Azure AD y usar las mismas aplicaciones de empresa sin crear un conjunto de aplicaciones para cada cuenta.
Nota:
A partir de abril de 2022, la aplicación de Azure AD que Citrix Cloud usa para conectar su Azure AD se actualizó para usar el permiso GroupMember.Read.All en lugar del permiso Group.Read.All. Si ya tiene una conexión de Azure AD (de antes de abril de 2022) y quiere que la aplicación utilice el nuevo permiso, debe desconectar y reconectar Azure AD a Citrix Cloud. Esta acción garantiza que su cuenta utilice la aplicación de Azure AD más reciente en Citrix Cloud. Para obtener más información, consulte Conectarse de nuevo a Azure AD para la aplicación actualizada.
Si decide no actualizar la aplicación, la conexión existente seguirá funcionando con normalidad.
Aplicaciones de empresa
En la siguiente tabla, se enumeran las aplicaciones de empresa de Azure AD que Citrix Cloud usa al conectarse y usar Azure AD y el propósito para el que se usa cada aplicación.
| Nombre | ID de aplicación | Uso |
|---|---|---|
| Citrix Cloud | e95c4605-aeab-48d9-9c36-1a262ef8048e | Inicio de sesión de suscriptores de espacios de trabajo |
| Citrix Cloud | f9c0e999-22e7-409f-bb5e-956986abdf02 | Conexión predeterminada entre Azure AD y Citrix Cloud |
| Citrix Cloud | 1b32f261-b20c-4399-8368-c8f0092b4470 | Invitaciones e inicios de sesión de administrador |
| Citrix Cloud | 5c913119-2257-4316-9994-5e8f3832265b | Conexión predeterminada entre Azure AD y Citrix Cloud con Citrix Endpoint Management |
| Citrix Cloud | e067934c-b52d-4e92-b1ca-70700bd1124e | Conexión antigua entre Azure AD y Citrix Cloud con Citrix Endpoint Management |
Permisos
Los permisos en las aplicaciones de empresa de Citrix Cloud permiten que Citrix Cloud acceda a ciertos datos en su arrendatario de Azure AD. Citrix Cloud utiliza estos datos para realizar funciones específicas, como conectarse a su arrendatario de Azure AD, permitir que los administradores inicien sesión en Citrix Cloud mediante una URL de inicio de sesión dedicada y conectar su arrendatario de Azure AD a Endpoint Management. Citrix Cloud solo puede acceder a estos datos con su consentimiento. Estos permisos representan la cantidad mínima de privilegios que Citrix Cloud necesita para funcionar con Azure AD. Para obtener más información sobre los permisos y el consentimiento en Azure AD, consulte Permissions and consent in the Microsoft identity platform en el sitio web de documentación de Microsoft Azure.
En este artículo, cada conjunto de permisos de aplicación de Azure AD incluye la siguiente información:
- Nombre de la API: Las aplicaciones de recursos desde las que Citrix Cloud solicita los permisos. Estas aplicaciones son Microsoft Graph y Windows Azure Active Directory. Citrix Cloud solicita los mismos permisos desde estas dos aplicaciones de recursos.
-
Tipo: Los niveles de acceso que Citrix Cloud solicita para un permiso determinado. Los permisos en una aplicación de empresa pueden tener uno de los siguientes niveles de acceso:
- Los permisos delegados se utilizan para actuar en nombre de un usuario que ha iniciado sesión, como cuando se consulta el perfil del usuario.
- Los permisos de aplicación se utilizan cuando la aplicación realiza una acción sin la presencia del usuario, como consultas a usuarios de un grupo en particular. Este tipo de permiso requiere el consentimiento de un administrador global en Azure AD.
-
Valor de notificación: La cadena de información que Azure AD asigna a un permiso determinado. Los permisos en una aplicación de empresa pueden tener uno de los siguientes valores de notificación:
- User.Read: Permite a los administradores de Citrix Cloud agregar usuarios desde el directorio de Azure AD conectado como administradores de la cuenta de Citrix Cloud.
- User.ReadBasic.All: Recopila información básica del perfil del usuario. Es un subconjunto de User.Read.All, pero el permiso en sí sigue destinado para la compatibilidad con versiones anteriores.
-
User.Read.All: Citrix Cloud llama a List users en Microsoft Graph para habilitar la navegación y la selección de usuarios desde el directorio de Azure AD del cliente conectado. Por ejemplo, los usuarios de Azure AD pueden obtener acceso a un recurso de Citrix DaaS con el espacio de trabajo. Citrix Cloud no se puede usar
User.ReadBasic.All, ya que necesita acceder a propiedades que están fuera del perfil básico, comoonPremisesSecurityIdentifier. - GroupMember.Read.All: Citrix Cloud llama a List groups en Microsoft Graph para habilitar la navegación y la selección de grupos desde el directorio de Azure AD del cliente conectado. Por ejemplo, los grupos de Azure AD también pueden obtener acceso a aplicaciones de Citrix DaaS.
-
Directory.Read.All: Citrix Cloud llama a List memberOf en Microsoft Graph para obtener la pertenencia a grupos del usuario, ya que
Groups.Read.Allno es suficiente. - DeviceManagementApps.ReadWrite.All: Permite a Citrix Cloud leer y escribir en las propiedades, las asignaciones de grupo, el estado de las aplicaciones, las configuraciones de aplicaciones y las directivas de protección de aplicaciones administradas por Microsoft Intune.
- Directory.AccessAsUser.All: Permite a Citrix Cloud tener el mismo acceso a la información del directorio que el usuario que ha iniciado sesión.
Nota:
Directory.Read.All solo se aplica a Conexión predeterminada entre Azure AD y Citrix Cloud con Endpoint Management.
Inicio de sesión de suscriptores de espacios de trabajo
Esta aplicación de Citrix Cloud (ID: e95c4605-aeab-48d9-9c36-1a262ef8048e) usa estos permisos:
| Nombre de la API | Valor de notificación | Nombre del permiso | Tipo |
|---|---|---|---|
| Microsoft Graph | User.Read | Iniciar sesión y leer el perfil del usuario | Delegado |
Conexión predeterminada entre Azure AD y Citrix Cloud
Esta aplicación Citrix Cloud (ID: f9c0e999-22e7-409f-bb5e-956986abdf02) utiliza estos permisos:
| Nombre de la API | Valor de notificación | Permiso | Tipo |
|---|---|---|---|
| Microsoft Graph | GroupMember.Read.All | Leer todos los grupos | Delegado |
| Microsoft Graph | User.ReadBasic.All | Leer los perfiles básicos de todos los usuarios | Delegado |
| Microsoft Graph | User.Read.All | Leer los perfiles completos de todos los usuarios | Delegado |
| Microsoft Graph | User.Read | Iniciar sesión y leer el perfil del usuario | Delegado |
| Microsoft Graph | GroupMember.Read.All | Leer todos los grupos | Aplicación |
| Microsoft Graph | User.Read.All | Leer el perfil completo de todos los usuarios | Aplicación |
| Microsoft Graph | User.Read | Iniciar sesión y leer el perfil del usuario | Aplicación |
Invitaciones e inicios de sesión de administrador
Esta aplicación Citrix Cloud (ID: 1b32f261-b20c-4399-8368-c8f0092b4470) usa estos permisos:
| Nombre de la API | Valor de notificación | Nombre del permiso | Tipo |
|---|---|---|---|
| Microsoft Graph | User.Read | Iniciar sesión y leer el perfil del usuario | Delegado |
| Microsoft Graph | User.ReadBasic.All | Leer los perfiles básicos de todos los usuarios | Delegado |
Conexión predeterminada entre Azure AD y Citrix Cloud con Endpoint Management
Esta aplicación Citrix Cloud (ID: 5c913119-2257-4316-9994-5e8f3832265b) utiliza estos permisos:
| Nombre de la API | Valor de notificación | Nombre del permiso | Tipo |
|---|---|---|---|
| Microsoft Graph | GroupMember.Read.All | Leer todos los grupos | Delegado |
| Microsoft Graph | User.ReadBasic.All | Leer los perfiles básicos de todos los usuarios | Delegado |
| Microsoft Graph | User.Read | Iniciar sesión y leer el perfil del usuario | Delegado |
| Microsoft Graph | Directory.Read.All | Leer datos de directorio | Aplicación |
| Microsoft Graph | Directory.Read.All | Leer datos de directorio | Delegado |
| Microsoft Graph | DeviceManagementApps.ReadWrite.All | Leer y escribir en aplicaciones de Microsoft Intune | Delegado |
| Microsoft Graph | Directory.AccessAsUser.All | Acceder al directorio en nombre del usuario con la sesión iniciada | Delegado |
Conexión antigua entre Azure AD y Citrix Cloud con Endpoint Management
Esta aplicación Citrix Cloud (ID: e067934c-b52d-4e92-b1ca-70700bd1124e) usa estos permisos:
| Nombre de la API | Valor de notificación | Nombre del permiso | Tipo |
|---|---|---|---|
| Microsoft Graph | GroupMember.Read.All | Leer todos los grupos | Delegado |
| Microsoft Graph | User.ReadBasic.All | Leer los perfiles básicos de todos los usuarios | Delegado |
| Microsoft Graph | User.Read | Iniciar sesión y leer el perfil del usuario | Delegado |
| Microsoft Graph | DeviceManagementApps.ReadWrite.All | Leer y escribir en aplicaciones de Microsoft Intune | Delegado |
| Microsoft Graph | Directory.AccessAsUser.All | Acceder al directorio en nombre del usuario con la sesión iniciada | Delegado |
En este artículo
- Aplicaciones de empresa
- Permisos
- Inicio de sesión de suscriptores de espacios de trabajo
- Conexión predeterminada entre Azure AD y Citrix Cloud
- Invitaciones e inicios de sesión de administrador
- Conexión predeterminada entre Azure AD y Citrix Cloud con Endpoint Management
- Conexión antigua entre Azure AD y Citrix Cloud con Endpoint Management